インターネットフィルター基準としてのドメイン年齢

Jeff Ebeling - CISSP、CCSP Advanced Technology Specialist、Skyhigh Security

2022年4月11日 7 分で読めます

「ドメインエイジ」の利用は、悪意のあるインターネットの宛先へのアクセスからユーザーとシステムを保護する方法として、様々なファイアウォールおよびウェブセキュリティベンダーによって推進されている機能です。その概念は、ドメインエイジを一般的なトラフィックフィルタリングパラメータとして使用することです。新規登録されたドメインに関連付けられたホストは、完全にブロックされるか、隔離されるか、または高い疑いを持って扱われるべきであると考えられています。このブログでは、ドメインエイジとは何か、ドメインがどのように作成および登録されるか、ドメインエイジの価値、そしてドメインエイジが他のウェブセキュリティツールを補完するものとしてどのように最も効果的に使用できるかについて説明します。

ドメイン年齢機能の定義

インターネットのサイトとドメインは常に変化し、進化しています。Verisignによると、2021年第3四半期までに、平均で1日あたり40,000件以上の新しい.netおよび.comドメインが登録されました。https://www.verisign.com/en_US/domain-names/dnib/index.xhtml ターゲットホストのドメインが既知の場合、そのドメインの登録日は様々な情報源から検索可能です。ドメインエイジは、初期ドメイン登録と現在の日付との間の期間を単純に計算したものです。

ドメイン年齢機能は、ポリシー制御での使用を目的として設計されており、管理者は特定のインターネット宛先へのアクセスを許可するために必要な最小ドメイン年齢を設定できます。ドメインは非常に簡単に安価に確立できるため、新しいドメインは、完全にブロックされないまでも、細心の注意を払って扱われるべきであるという考えです。残念ながら、ほとんどのプロトコルと実装では、ドメイン年齢ポリシーの選択は許可またはブロックの二者択一の決定です。これは、最終的な宛先が、ドメイン年齢を変更することなく迅速にアクティブ化、変更、非アクティブ化できるホスト、サブドメイン、および宛先アドレスである場合には、あまり有用ではありません。その結果、ドメイン名またはドメイン年齢のみに基づく二者択一のセキュリティ決定は、セキュリティ、ユーザーエクスペリエンス、および生産性に有害な誤検知と誤検出の両方を自然に引き起こします。

ドメイン登録

IANA (Internet Assigned Numbers Authority) は、ICANN (Internet Corporation for Assigned Names and Numbers) の一部門であり、レジストリ、プロトコルパラメータ、ドメイン名、IPアドレス、および自律システム番号の管理を担当しています。IANAはDNS (Domain Name System) のルートゾーンとTLD (トップレベルドメイン、例：.com、.org、.eduなど) を管理しており、レジストラは、インターネットレジストリおよびIANAと協力して、トップレベルドメイン内の個々のサブドメインを登録する責任を負っています。

登録プロセスと定義の詳細は、IANAサイト (iana.org) で確認できます。詳細はこちらで確認できます。https://whois.icann.org/en/domain-name-registration-process この場所には以下の記述が含まれています。

「場合によっては、WHOISに情報を掲載したくない個人または組織が、代理サービスプロバイダーと契約して、その代理でドメイン名を登録することがあります。この場合、サービスプロバイダーがドメイン名登録者であり、エンド顧客ではありません。」

これは、サービスプロバイダーおよびエンド顧客が、一度ドメインを登録すれば、登録日やその他の登録情報を変更することなく、そのドメインを再利用、再割り当て、または販売できることを意味します。レジストラはアドレスを競売にかけることができ、実際にそうすることで、ドメインの「スクワッターや荒らし」のための広大な市場を生み出しています。攻撃者は、廃業したビジネスの確立されたドメインを安価に購入したり、完全に新しい正当な響きのドメインを登録し、数週間、数ヶ月、あるいは数年間使用せずに放置したりすることができます。例えば、本稿執筆時点では、airnigeria.comがgodaddy.comでわずか65米ドルで販売されています。airnigeria.comドメインは2003年に最初に登録されました。IANAおよびレジストラは、ドメインの使用に対して責任も管理権も持ちません。

ドメイン年齢の決定

ドメイン年齢は、TLDのレジストリ運営者が管理するインターネットレジストリ内のドメインレコードから決定されます。最終的に、レジストラはドメイン登録の確立と関連データの更新に責任を負います。レジストリのレコードには元の作成日がありますが、その日付は特定のドメインの登録が期限切れになり、ドメイン名が再登録されない限り変更されません。このため、ドメイン年齢は個々の宛先がいつアクティブになったかを示す非常に不正確な尺度です。

フィルタリング決定時に宛先IPアドレスのみが判明している場合はどうでしょうか？これは、特定の宛先に送信される最初のパケット（TCP SYNまたは他のネットワーク/トランスポート層プロトコルの最初のUDPパケット）をフィルタリングする場合に当てはまります。宛先のドメインを取得する1つの方法は逆引きDNSルックアップですが、ホストのドメインが解決のために最初に提出されたドメインと一致しない可能性があり、その場合、ドメイン年齢にどのような価値があるでしょうか？

例えば、www.skyhighsecurity.com は現在34.111.16.149に解決され、これは逆引きで149.16.111.34.bc.googleusercontent.comに解決されます。skyhighsecurity.comドメインは2018年12月14日に登録されましたが、googleusercontent.comは2010年9月14日に登録されました。どちらも長期間運用されているドメインです。この宛先は十分に確立されたskyhighsecurity.comドメイン内にあり、十分に確立されたgooglecontent.comドメインでホストされていますが、www.skyhighsecurity.comまたは34.111.16.149の宛先がいつアクティブになったか、あるいはそのIPアドレスとの通信のリスクについては何ら示唆を与えるものではありません。パブリッククラウド (IaaSおよびSaaS) でプロバイダーのドメインを使用してホストされている宛先を考慮すると、ドメインエイジはさらに有用性が低下します。

逆引きルックアップから誤ったドメイン、ひいては誤ったドメイン年齢を取得することは、クライアントのDNSクエリを追跡し、それらのドメインを要求された宛先IPにマッピングしようとすることで、ある程度軽減できるかもしれません。しかし、これを行うには、クライアントからのすべてのDNSリクエストを完全に可視化できる必要があり、宛先IPアドレスが標準DNSまたはドメイン年齢フィルタリングを提供するシステムによって決定されたことを前提としています。

ドメイン年齢を一般的なフィルタリング基準として使用する際の課題

たとえ通信の正しいドメインが確立され、ドメイン年齢が正確に取得できたとしても、考慮すべき問題が依然として存在します。

レジストラは、確立されたドメインを自由に維持、変更、および任意の顧客に再割り当てすることができ、再販業者も同様です。これは、悪意のあるアクターが中立的または肯定的な評判を持つ既存の確立されたドメインを容易に取得できるため、スタンドアロンのフィルタリングパラメータとしてのドメイン年齢の有用性を大幅に低下させます。悪意のあるアクターは、コマンド＆コントロールまたは攻撃ドメインとして使用されるずっと前に、新しいドメインを登録することもできます。

合法的で完全に安全なサイトは、多くの場合、使用開始から数日、あるいは数時間以内に常に登録され、確立されています。ドメイン年齢をフィルタリング基準として使用する場合、常に高い誤検知率と高い誤検出率の間のトレードオフが存在します。

また、ドメイン年齢は、ドメイン内で個々のホスト名レコードがいつ作成されたかという点に関して、ほとんど価値がないことにも注意すべきです。確立されたドメインには、ほぼ無限のサブドメインと個々のホストが存在する可能性があり、ホスト名の年齢や、その名前がアクティブなIPに関連付けられた時期を正確に判断する方法はありません。判明しうるのは、宛先ホスト名が、以前のある日付に登録されたドメインの一部であるということだけです。

結論として、ドメイン年齢は、それ自体で有用なフィルタリング決定を下すには、粒度が細かすぎず、実質的でもありません。しかし、より具体的な基準が全くない場合、選択された新しさの閾値に関連する誤検知率と誤検出率が許容できるのであれば、ドメイン年齢は限定的なセキュリティ価値を提供する可能性があります。ドメイン年齢は、プロトコル、コンテンツタイプ、ホストカテゴリ、ホストの評判、ホストの初回検出、ホストアクセス頻度、ウェブサービス属性など、より明確な他のフィルタリング基準と組み合わせることで、補足的な価値を提供できます。

HTTP/Sおよびプロキシベースのフィルタリングにおけるドメイン年齢

HTTPプロトコルが使用されている場合、より具体的な基準が常に利用可能です。HTTPおよびHTTPSフィルタリングは、明示的または透過的なプロキシを介して最も効果的に処理されます。プロトコルが遵守されている場合（デバイスまたはサービスによって強制されている場合）、TCP接続が確立されるまで、情報は転送されず、侵害や攻撃を開始することはできません。

トラフィックがプロキシされており、HTTPSが復号化できることを考慮すると、ホスト、URLパス、およびURLパラメータの正確なFQDN (Fully Qualified Domain Name) をプロキシによって識別および検証し、フィルタリング決定に使用できます。FQDN、完全なURLパス、およびURLパラメータに関する情報を検索する機能は、ドメインやドメインの登録日とは無関係に、特定のサイト、宛先、およびサービスの履歴、リスクレベル、使用状況に関するはるかに価値のある情報を提供します。このようなコンテキストデータは、プロキシがリクエストを特定のサービスとそのデータセキュリティ属性（サービスの種類、知的財産権、侵害履歴など）に関連付けることで、さらに強化できます。

業界をリードするWebプロキシベンダーは、最も頻繁に使用されるサイト、ドメイン、アプリケーション、サービス、URLの広範かつ包括的なデータベースを維持しています。Skyhigh Securityが使用するGlobal Threat IntelligenceおよびCloud Registryデータベースは、サイト、ドメイン、URLを地理位置情報、カテゴリ、サービス、サービス属性、アプリケーション、データリスク評価、脅威評価などと関連付けます。副次的な利点として、特定のホスト、ドメイン、サービス、またはURLのデータベースにエントリがないことは、そのサイトが新しく設立されたか、ほとんど使用されていないため、本質的に信頼すべきではないことを示す非常に強力で、はるかに正確な指標となります。そのようなサイトは、ドメインの経過期間に関係なく、これらの基準に基づいて注意して扱い、ブロック、指導、または隔離（後者の2つのオプションはプロキシされたHTTP/Sで独自に利用可能）する必要があります。

Skyhigh Security Secure Service Edge (SSE)は、上記のすべての機能を提供し、未分類、未検証、その他リスクのあるサイト向けにRemote Browser Isolation (RBI)を含んでいます。これにより、ドメイン年齢フィルターによる誤検知や誤検出の複雑さを加えることなく、ブラウザやその他のアプリケーションが未分類のサイトにアクセスするリスクを事実上排除します。

HTTP/Sを使用する場合、ホスト名の年齢、あるいは最初に検出されたホスト名および/または最後に検出されたホスト名の日付は追加の価値を提供する可能性がありますが、FQDNとより具体的なサイトまたはサービス関連の情報が利用できる場合、ドメイン年齢はほとんど役に立ちません。ベストプラクティスは、ドメイン年齢に関係なく、未検証のサイトやサービスをブロック、隔離、または少なくとも指導することです。ドメイン年齢に基づいて未検証のサイトやサービスを許可することは、誤検出（ドメインが最近登録されたものではないという理由だけで危険なサイトやサービスが許可されること）の重大なリスクを追加します。ドメイン年齢のみに基づいてサイトやサービスを一般的にブロックすると、良好な評判を確立しておりブロックすべきではないサイトまで過剰にブロックすることにつながります。

結論

ドメイン年齢は、ネットワークパケットの宛先に関する他のより正確で具体的な情報が利用できない状況において、フィルタリング決定を補完するためにある程度役立つ場合があります。HTTP/Sフィルタリングにドメイン年齢を使用することを検討する場合、それはより包括的な脅威インテリジェンスおよびサービスデータベースの非常に貧弱な代替手段です。ベストプラクティスから逸脱し、隔離なしで未検証のサイトへのHTTP/S接続を許可する決定がなされた場合、ドメイン年齢は、新しく登録されたドメインにある未検証のサイトをブロックすることで、限定的な補足的価値を提供できます。これは、包括的なウェブ脅威インテリジェンスの使用、徹底的なリクエストとレスポンスの分析、そして未検証のサイトの単純なブロック、隔離、または指導というベストプラクティスと比較して、誤った安心感と、はるかに大きな誤検出のリスクを伴います。

Skyhigh Securityのシステムおよびデータ保護のための包括的かつ効果的なソリューションに関する詳細については、Security Service Edgeのランディングページをご覧ください。

ブログへ戻る